«Требуется сисадмин со знанием ИБ». Обозреватель BIS Journal погрузился в пучину рекрутингового портала
01/06/2023
Нехватка квалифицированных кадров — постоянная тема ИБ-мероприятий. Там называются цифры в десятки и сотни тысяч вакансий, которые надо заполнить специалистами по кибербезопасности для выполнения Указа № 250, требований регуляторов и просто для закрытия вопросов ИБ в компаниях. Часть рабочих мест ещё только предстоит создать, о чём многие предприятия пока не догадываются.
ТЕНДЕНЦИЯ ОЧЕВИДНА
Итак, обратимся к популярному порталу HeadHunter — крупнейшей российской компании интернет-рекрутмента.
По запросу «информационная безопасность» портал выдаёт 7061 вакансию на начало третьей декады марта 2023 г. При указании специализации «специалист по ИБ» — 2612 предложений. Уточняем запрос: работу «информационная безопасность» ищет человек со средним специальным образованием, опыт и зарплата не указаны. 254 вакансии. Беглый просмотр объявлений показывает: запрос снова придётся уточнять, так как в выборку попадают и менеджеры по работе с клиентами, и бухгалтеры, и медсёстры.
Тенденция очевидна на первом десятке вакансий. Даже на уровне техника ИТ-отдела работодатели хотят видеть традиционного сисадмина-эникейщика, который и сервер настроит, и кабель протянет, и пользователям поможет. Поэтому на него можно повесить и «регулярную реализацию мероприятий по информационной безопасности», и «ответственность за кибербезопасность компании». Будущий сотрудник должен уметь расставлять приоритеты и быть стрессоустойчивым.
Пример? Городская больница среднего города. Несколько вакансий системного администратора в отдел ИТ, требования классические, но в середине списка мелькают «базовые знания по ИБ». Вакансий специалистов по кибербезопасности в больнице нет. Вспоминаются хакерские атаки на систему здравоохранения США (снизу доверху) и утечки конфиденциальных сведений. Для российского города атака на больницу будет чувствительной. А полное описание программно-аппаратных комплексов и ИС из вакансии станет отличным подспорьем для атакующих. Но кто об этом думает?
Другая вакансия. Компания описывает себя как подрядчика крупных организаций. Среди обязанностей сисадмина — обеспечение надёжного функционирования и развития внутренней ИT-инфраструктуры предприятия, а также обеспечение ИБ, оценка рисков и угроз, разработка мер ИБ, тестирование уязвимостей; плюс повышение надёжности и защищённости, сокращение издержек ИТ... Прочие задачи — техподдержка пользователей и создание новых АРМ, закупка оборудования и расходников, диагностика, ремонт, инвентаризация... Тут не до мониторинга киберрисков, успеть бы МарьИванне компьютер настроить. Лучше места для начала атаки третьей стороны на заказчиков этого подрядчика не найти.
Ещё пример. В вакансии ведущего специалиста по ИБ одной госкорпорации описаны классические требования для сотрудника ИТ-подразделения. И видимо, для отчёта добавляется: «Специалисты по кибербезопасности в штатном расписании есть».
Зарплаты везде разные, старт от 30 тыс. рублей, чаще — по итогам собеседования. Если сузить поиск до Москвы, то молодого специалиста по ИБ со средним техническим образованием и минимальным опытом работы (6 месяцев или стажировки в период учёбы) ищут в федеральном ведомстве. В обязанности сотрудника входят только вопросы ИБ. Зарплата — 50–60 тыс. руб., премии, соцпакет, возможность профессионального роста.
С ВЫСШИМ ОБРАЗОВАНИЕМ…
Следующая выборка — специалист по ИБ с высшим образованием из России без указания уровня зарплаты. Выпадает 3664 вакансии, первые же предложения — менеджеры по продажам в крупных компаниях-интеграторах ИБ-решений, для которых знание профильной области — преимущество при трудоустройстве. Далее идут инженерные должности в банках и компаниях, работающих в области кибербезопасности.
Есть и редкие исключения, например спрос на направление инфобеза со стороны налогового ведомства. Его структуры активно ищут специалистов, готовых разработать документацию в области ИБ, провести внедрение и администрирование систем и СЗИ. А также готовых на практике обеспечивать киберзащиту ресурсов и участвовать в аудите ИБ. Среди других предложений — операторы ЦОД, работающего в режиме 27/7.
Несколько работодателей — учебные заведения, фармкомпания и компании нефтегазового комплекса, подрядчики госкорпораций — находятся в поиске опытных специалистов, которые займутся обеспечением соответствия ИС требованиям законодательства в области ИБ, практическим внедрением, администрированием, сопровождением эксплуатируемых СЗИ. В ряде случаев соискатель должен уметь взламывать и защищать внутренние корпоративные сети и сайты работодателя.
Если поставить максимально привередливые условия поиска — специалист по ИБ с высшим образованием, опытом работы от 6 лет и желаемым доходом от 150 тыс. руб., то портал показывает всего несколько десятков вакансий, и по ним можно проследить тенденции, отбросив банки и профильные ИБ-компании.
Ряд ИТ-компаний, работающих с середины 2010-х гг., «внезапно» вспомнили о кибербезопасности своих продуктов и срочно ищут руководителей ИБ направлений. Кто-то начнёт с базовых мер — анализа и оценки состояния ИБ в компании определения ресурсов, подлежащих защите, определения требований по защите информации для ранее созданных и новых ИС… Один работодатель скромно упоминает «более 850 сервисов для автоматизации бизнеса» в своём портфеле решений, которые неплохо бы защитить.
Работодатели ищут желающих возглавить новое ИБ-направление в системном ИТ-интеграторе и сформировать стратегию ИБ как для компании, так и для её сервисов, возглавить отдел ИБ в компании нефтеперерабатывающего холдинга или перспективной энергетической компании, сосредоточить внимание на взаимодействии с госорганами и регуляторами, создать SOC и перейти на российские СЗИ. Обещают платить от 250 до 350 тыс. рублей ежемесячно.
Интересна вакансия по защите КИИ одной из городских служб города федерального значения. Необходим опыт работы с автоматизированными системами управления технологическими процессами (АСУ ТП), разработка вариантов архитектурных и технических решений подсистем защиты АСУ ТП, выявление угроз безопасности объектов КИИ и участие в расследовании инцидентов кибербезопасности. Правда, зарплата за всё это — 90 тыс. рублей. Льготы и поощрения — после года ударной работы.
ПРО СОИСКАТЕЛЕЙ
На что рассчитывают соискатели? Задаём критерии поиска: «граждане России, специалисты ИБ, ищут работу и рассматривают предложения по России». Таковых 962 человека, более 500 из них — в активном поиске.
Популярную тему инфобеза включают в резюме как специалисты в ИТ, так и специалисты в пожарной безопасности и даже сотрудники ЧОПов — таких минимум треть от всех претендентов. Резюме, имеющие прямое отношение к ИБ, начинаются в четвёртой сотне. Желаемый уровень зарплаты такого специалиста (настоящего ибэшника) из региона со стажем более 15 лет, не готового к переезду, — 45–50 тыс. рублей. На такую же зарплату претендует и молодой специалист из крупного города. Он получил профильное ИБ-образование, видел, как работают с аппаратно-программными комплексами шифрования, «знаком с СЗИ», но его интересы лежат в области дизайна или фотографии, о чём он честно пишет. Уровень зарплатных ожиданий таких «специалистов» растёт с уменьшением возраста и приближением к большим городам.
В ценовой группе с зарплатами от 90 тыс. рублей среди сисадминов и сотрудников техподдержки всё-таки можно найти и специалистов по ИБ. Имеющие опыт работы от 10 лет оценивают себя в 130 тыс. рублей и выше. Здесь и больше резюме, авторы которых уже ведут переговоры с работодателями.
ВЫВОДЫ
Какие выводы можно сделать, просмотрев вакансии и резюме по ИБ на портале hh.ru?
Число вакансий почти в три раза превышает число резюме соискателей, а с учётом отсева — более чем в четыре раза.
Основные потребители квалифицированных кадров — компании, работающие в области ИБ, финансовые организации, разработчики и поставщики комплексных ИТ- и ИБ-решений.
Многие работодатели, особенно малый и средний бизнес, не понимают различия между ИТ- и ИБ-секторами и пытаются нагрузить сисадминов вопросами кибербезопасности разного уровня сложности.
Многие соискатели не понимают различия между ИТ- и ИБ-секторами и пытаются «продать» себя подороже, не имея опыта работы в области кибербезопасности.
Организации госсектора, крупные компании начинают интегрировать информационную безопасность в бизнес-системы.
Ряд компаний, работающих в критически значимых секторах экономики, «вспомнили» про ИБ и срочно планируют выполнять требования регуляторов. Хоть это радует.